PHP 언어 개발에서 사이트 간 요청 위조 공격을 방지하는 방법은 무엇입니까?-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

PHP 언어 개발에서 사이트 간 요청 위조 공격을 방지하는 방법은 무엇입니까?

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 11, 2023 am 09:48 AM

CSRF 공격으로부터 PHP 보호 양식 보안 PHP PHP 사이트 간 공격 방지

현재 네트워크 보안 위협 환경에서는 CSRF(교차 사이트 요청 위조) 공격이 매우 일반적인 공격 방법입니다. 이러한 공격 방법은 시스템의 취약점을 이용하여 사용자가 알지 못하는 사이에 특정 작업을 수행하도록 유도함으로써 공격자의 목적을 달성하는 것이다. PHP 언어 개발에서는 CSRF 공격을 어떻게 피하는가가 매우 중요한 과제가 되었습니다.

CSRF 공격의 원리

먼저 CSRF 공격의 원리를 이해해 봅시다. CSRF 공격은 본질적으로 사용자 신원 인증 정보를 이용한 공격 방법이다. 공격자는 일반적으로 웹사이트의 전송 작업과 같은 특정 페이지나 작업을 대상으로 해당 작업에 대한 악의적인 요청을 구성한 후 어떤 방식으로든 사용자에게 요청을 보냅니다. 사용자가 자신도 모르게 이 작업을 수행하면 악의적인 요청이 실행되어 사용자에게 손실이 발생할 수 있습니다.

PHP 언어 개발에서 사이트 간 요청 위조 공격을 방지하려면 일반적으로 다음 세 가지 측면이 필요합니다.

토큰 확인

토큰 확인은 CSRF 공격을 방지하는 일반적인 방법입니다. 이 접근 방식에서 서버는 페이지에서 임의의 토큰을 생성하고 이를 세션에 저장합니다. 사용자가 양식 등을 제출하면 서버는 제출된 데이터에 올바른 토큰이 포함되어 있는지 확인합니다. 올바른 토큰이 포함되어 있으면 작업이 수행됩니다. 올바른 토큰이 포함되지 않으면 서버는 작업을 거부합니다.

PHP 언어 개발에서는 다음 코드를 사용하여 임의의 토큰을 생성할 수 있습니다.

$token = uniqid(rand(), true);
$_SESSION['csrf_token'] = $token;

로그인 후 복사

양식을 제출하고 기타 작업을 수행할 때 다음 코드를 사용하여 토큰을 확인할 수 있습니다.

if($_SESSION['csrf_token'] !== $_POST['csrf_token']){
    // 验证失败
}else{
    // 验证成功
}

로그인 후 복사

추천인 확인

참조자 확인 CSRF 공격을 방지하는 간단하지만 신뢰할 수 없는 방법입니다. 이 접근 방식에서 서버는 각 요청의 Referer 헤더를 확인하여 해당 요청이 동일한 사이트에서 온 것인지 확인합니다. 이 접근 방식의 문제점은 공격자가 Referer 헤더를 위조하여 확인이 실패할 수 있다는 것입니다.

PHP 언어 개발에서는 다음 코드를 사용하여 현재 요청의 Referer 헤더를 얻을 수 있습니다.

$referer = $_SERVER['HTTP_REFERER'];

로그인 후 복사

쿠키 확인

쿠키 확인은 CSRF 공격을 방지하는 약간 복잡하지만 안정적인 방법입니다. 이 방법에서는 사용자가 페이지를 방문할 때 서버가 사용자 쿠키에 CSRF 토큰이라는 임의의 식별자를 설정합니다. 그런 다음 사용자가 작업을 수행하면 서버는 요청에 올바른 CSRF 토큰이 포함되어 있는지 확인합니다.

PHP 언어 개발에서는 다음 코드를 사용하여 CSRF 토큰을 설정할 수 있습니다.

if(empty($_SESSION['csrf_token'])){
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
$csrfToken = $_SESSION['csrf_token'];
setcookie('csrf_token', $csrfToken, time() + 3600, '/', '', false, true);

로그인 후 복사

양식을 제출하고 기타 작업을 수행할 때 다음 코드를 사용하여 CSRF 토큰을 확인할 수 있습니다.

if($_COOKIE['csrf_token'] !== $_POST['csrf_token']){
    // 验证失败
}else{
    // 验证成功
}

로그인 후 복사

Summary

PHP에서 언어 개발, 크로스 사이트 요청 위조 공격을 피하는 것은 매우 중요한 작업입니다. 토큰 확인, 참조자 확인 및 쿠키 확인은 CSRF 공격을 방지하는 세 가지 일반적인 방법입니다. 개발자의 경우 시스템 보안을 보장하기 위해 실제 비즈니스 시나리오를 기반으로 적절한 검증 방법을 선택해야 합니다.

위 내용은 PHP 언어 개발에서 사이트 간 요청 위조 공격을 방지하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

뜨거운 주제

Gmail 이메일의 로그인 입구는 어디에 있나요?

7564

Cakephp 튜토리얼

1386

Steam의 계정 이름 형식은 무엇입니까?

Win11 활성화 키 영구

NYT 연결 힌트와 답변

Related knowledge

ALIPAY PHP SDK 전송 오류 : '클래스 부호 데이터를 선언 할 수 없음'의 문제를 해결하는 방법은 무엇입니까? Apr 01, 2025 am 07:21 AM

Alipay PHP ...

JWT (JSON Web Tokens) 및 PHP API의 사용 사례를 설명하십시오. Apr 05, 2025 am 12:04 AM

JWT는 주로 신분증 인증 및 정보 교환을 위해 당사자간에 정보를 안전하게 전송하는 데 사용되는 JSON을 기반으로 한 개방형 표준입니다. 1. JWT는 헤더, 페이로드 및 서명의 세 부분으로 구성됩니다. 2. JWT의 작업 원칙에는 세 가지 단계가 포함됩니다. JWT 생성, JWT 확인 및 Parsing Payload. 3. PHP에서 인증에 JWT를 사용하면 JWT를 생성하고 확인할 수 있으며 사용자 역할 및 권한 정보가 고급 사용에 포함될 수 있습니다. 4. 일반적인 오류에는 서명 검증 실패, 토큰 만료 및 대형 페이로드가 포함됩니다. 디버깅 기술에는 디버깅 도구 및 로깅 사용이 포함됩니다. 5. 성능 최적화 및 모범 사례에는 적절한 시그니처 알고리즘 사용, 타당성 기간 설정 합리적,

확실한 원칙과 PHP 개발에 적용되는 방법을 설명하십시오. Apr 03, 2025 am 12:04 AM

PHP 개발에서 견고한 원칙의 적용에는 다음이 포함됩니다. 1. 단일 책임 원칙 (SRP) : 각 클래스는 하나의 기능 만 담당합니다. 2. Open and Close Principle (OCP) : 변경은 수정보다는 확장을 통해 달성됩니다. 3. Lisch의 대체 원칙 (LSP) : 서브 클래스는 프로그램 정확도에 영향을 미치지 않고 기본 클래스를 대체 할 수 있습니다. 4. 인터페이스 격리 원리 (ISP) : 의존성 및 사용되지 않은 방법을 피하기 위해 세밀한 인터페이스를 사용하십시오. 5. 의존성 반전 원리 (DIP) : 높고 낮은 수준의 모듈은 추상화에 의존하며 종속성 주입을 통해 구현됩니다.